Footprint. Busca detalhada de inform ações sobre o alvo para um a intrusão.

Transcrição

1 Footprint Busca detalhada de inform ações sobre o alvo para um a intrusão.

2 Foot print É a organização de idéias com o um todo, tentando criar o m elhor e m ais com pleto perfil do alvo a ser atacado. O intuito é criar um perfil de um a m áquina-alvo, para descobrir falhas que possam ser exploradas a partir de configurações e senhas padrões.

3 Foot print A partir do resultado do Footprint é que é traçado a estratégia de ataque. Um Footprint dura, enquanto for necessário. Pode ser colocado em prática de m uitas form as, e é lim itado apenas pela im aginação do atacante.

4 Objetivos com uns de Footprint Levantam ento de I nform ações de Dom ínios: - Nom es de dom ínios. - Responsáveis pelos dom ínios - Servidores de dom ínios. I dentificação do SO de m áquina-alvo (Fingerprint). Descobrir subredes. Serviços TCP e UDP disponíveis. Topologia da rede.

5 Objetivos com uns de Footprint Contas de Em ail, FTP e outros serviços. Nom es de usuários e de grupos. Banners que identificam versões de serviços. I dentificação de roteador e Tabelas de roteam ento. Servidores ocultos por NAT (Network Address Translat or). Endereços de e-m ails.

6 Objetivos com uns de Footprint I nform ações de serviços SNMP m al configurados. I ntervalos (Ranges) de I P de dom ínios. Estrutura de segurança quanto a existência de: - Firewalls - Sistem as I DS - Honeypots

7 Foot print Engenharia Social. Levantam ento de I nform ações do Alvo: Whois ou com ando host (Linux/ Unix). Leitura de Banners para identificar servidores. Fingerprint do SO Enum eração dos Serviços e Versões Enum eração das I nform ações dos Serviços. Enum eração das Vulnerabilidades.

8 Engenharia Social É um a form a pessoal, ilícita, utilizada por crackers, para adquirir disfarçadam ente, quaisquer inform ações fundam entais para a m anutenção da segurança de um sistem a.

9 Levantam ento de I nform ações de Dom ínio Consulta na Base Whois ( Internic). whois <dominio> whois <ip/dominio>@registro.br fwhois <dominio> xwhois <dominio> (ferramenta Linux) Procura na FAPESP (base do país). O domínio procurado está num provedor ou numa estação da própria empresa???

10 Levantam ento de I nform ações de Dom ínio Consulta na base DNS pelos com andos host ou dig ou nslookup (utilitário que pesquisa DNS), no Linux. Cada dom ínio possui um a base de dados DNS dos subdom ínios ali cadast rados.

11 Com ando host Consultando toda a base DNS: >host l v t any <empresa>.com.br Descobrindo qual é o servidor de em ail: >host t mx <empresa>.com.br Descobrindo os I Ps de servidores DNS: >host t ns <empresa>.com.br Verificando os CNAME (quais o servidores FTP, Web e outros): >host t CNAME <empresa>.com.br

12 Com ando dig Buscando inform ações sobre o servidor DNS: >dig t ns <empresa>.com.br Buscando inform ações do registro MX: >dig t mx <empresa>.com.br Buscando informações sobre o registro SOA: >dig t soa <empresa>.com.br

13 Com ando nslookup Varredura nas inform ações de um dom ínio (consultando CNAME) CNAME = nom es canônicos >nslookup Set type=cname

14 Levantam ento de I nform ações de Dom ínio Levantam ento de URL, através de consulta DNS, com a ferram enta I PZoner: >./IPZoner s <ip_de> -t <ip_para> Exem plo: >./IPZoner s t

15 Levantam ento de I nform ações de Dom ínio Levantam ento de rotas de pacotes num a/ entre redes (quais servidores e roteadores existem, a topologia da rede e identificar a estrutura de segurança), através do utilitário traceroute (Linux, Unix) ou tracert ( Windows).

16 Rota de pacotes Exem plo: traceroute vitima.com.br router -> router -> máquina ->... > servidor Exem plo: Tracerout e analisando um a port a. traceroute p testa se há resposta na porta 25 (SMTP).

17 Foot print Leit ura de Banners

18 Leit ura de Banners I dent ificando o servidor SMTP - Com Netcat na porta 25. > nc <ip> 25 - Com a ferram enta SMTPScan que utiliza um banco de dados de perfil de servidores SMTP. >./smtpscan inf.ufsc.br

19 Leitura de Banners - DNS I dentificando a versão BI ND em um servidor DNS: - Com a ferram enta dnsver.pl >./dnsver.pl t 50 v <ip> - Com a ferram enta m ig-nam ed >./mig-named h <ip> -t 15 d

20 Leitura de Banners - DNS I dentificando versão BI ND de DNS, porta 53, com a ferramenta grabbb : >./grabbb -m -a b : : :53 >./mig-named h t 50 d [ ]:[53] >... >./mig-named h t 50 d [ ]:[53] BI ND (Berkeley I nternet Nam e Dom ain) é um a im plem entação do Dom ain Nam e System (DNS)

21 I dentificando SSH, Web I dentificando servidores SSH, porta 22: >./grabbb m a b >./scanssh /24 grep v refused grep v timeout grep v unreachable Identificando servidores Web: >./grabbb m a b :80: :80: >httpdtype >httpdtype

22 Contram edidas Leitura de Banners Utilizar a obscuridade por m eio de elim inação de banners, restrição a consultas DNS e configurações que dificultem o levantam ento das inform ações de banners. Obscuridade é com plem ento de segurança; Para agregar valor à segurança; Ver y.com.br Fazer at ualizações de pat ches.

23 Foot print Conceituando Portas Protocolos TCP, I CMP, UDP, I P Base para Scanners de Porta

24 Port as Sistem a Operacional: kernel, serviços do sistem a, serviços de com unicação (rede) e aplicações dos usuários, que podem se ut ilizar de serviços. A form a de identificação de um ponto de acesso de serviço de rede (SAP, OSI ) é a porta de protocolo TCP/ I P. Sockets TCP/ I P = (I P, portas)

25 Port as A porta é a unidade que perm ite identificar o tráfego de dados destinado a diversas aplicações. A identificação única de um processo acessando os serviços de rede TCP/ I P é o socket TCP/ I P, form ado pelo par I P da m áquina e a porta(s) usada(s) para acessar um serviço(s) de rede utilizado(s) por um a aplicação.

26 Portas sim ultâneas Cada processo pode utilizar m ais de um a porta sim ultaneam ente (entrada, saída), m as, em um dado instante, um a porta só pode ser usada por um a aplicação. porta processo porta

27 Port as Um a aplicação que deseje utilizar os serviços de rede deverá requisitar um a ou m ais portas para realizar a com unicação. A m esm a porta usada por um a aplicação pode ser usada por outra, desde que a prim eira tenha liberado aquela de ut ilização.

28 Port as A form a de utilização de portas m ostra um a distinção entre a parte cliente e a parte servidora de um a aplicação TCP/ I P.

29 Port as Um a aplicação-servidora deve utilizar um núm ero de porta bem conhecido, de m odo que um cliente qualquer, querendo utilizar os serviços do servidor, tenha que saber apenas o endereço I P da m áquina onde o serviço est á sendo execut ado.

30 Port as A aplicação cliente pode utilizar um núm ero de porta qualquer. Os núm eros de porta de 1 a 1023 são núm eros bem conhecidos para serviços de rede, atribuídos pela I ANA (I nternet Assigned Num bers Authotity).

31 Port as Os núm eros de 1024 a podem ser atribuídos para outros serviços, e são geralm ente usados pelos program as-cliente de um protocolo. As portas servem para identificar o tipo de aplicação que gerou as m ensagens de dados, e para qual tipo de aplicação as m ensagens de dados devem ser entregues.

32 Portas TCP Serviços e Aplicações portas TCP UDP ICMP IP Sistema Operacional Hardware do Computador e de Rede

33 Applications, services Middleware Operating system Platform Computer and network hardware

34 Applications, services RMI and RPC This chapter request-reply protocol marshalling and external data representation Middleware layers UDP and TCP

35 Protocolo TCP Segm ento TCP TCP Header lenght source port 6 bits not used sequence number acknowledgement number U R G checksum A C K P S H R S T S Y N F I N destination port window size max=64kb urgent pointer Options (0 or more 24 bit-words) padding Application Data (optional) - máximo de 536 bytes

36 TCP Bits de Controle Bit URG ACK PSH RST SYN FIN Força a entrega de dados. Reiniciar a conexão. Sign ifica do O cam po Ponteiro Urgente é válido. O cam po núm ero de confirm ação é válido. Sincronismo, determina o número de sequência inicial. O transm issor chegou ao fim de seus dados.

37 Protocolo I CMP Encapsulado no protocolo I P, m as não é um protocolo de alto nível (TCP, UDP) Tipo de Msg ICMP Código ICMP Checksum

38 Valor Alguns Tipos de m ensagem I CMP Resposta à mensagem de Echo Aviso de destino inalcançável Redução da Velocidade de Transmissão Solicitação de Redirecionamento Mensagem de Echo Tempo de Vida Excedido (Time To Live) Problema nos parâmetros...

39 Bits de Varredura Varreduras usando TCP usam os bits de cont role: SYN, ACK, RST, FI N, URG, PSH Varreduras usando I CMP usam pacotes I P contendo I CMP tipo 3.

40 Prot ocolo UDP Suite de protocolos I nternet. User Datagram Protocol (RFC 768). Um protocolo de transporte sem conexão. Provê um m odo de aplicações enviarem datagram as UDP encapsulados em pacotes I P. Muitas aplicações que têm um request e um response usam UDP (Echo, Whois, DNS,... ).

41 O segm ento UDP Um segm ento UDP consiste de um cabeçalho de 8 bytes seguido por dados da aplicação. 32 bits Source Port UDP lenght Destination Port UDP checksum Application Data (maximo de 548 bytes)

42 O Pseudo Cabeçalho TCP/ UDP 32 bits IP Source Address IP Destination Address Protocol TCP=6 or UDP=17 in a packet IP TCP/UDP segment lenght UDP Data = 0 or more data bytes = 0 or more 32 bits words

43 Estrutura de um pacote I Pv4 Versão (4 bits) Tamanho do Cabeçalho (4bits) Tipo de Serviço (1 byte) Tamanho Total (4 bytes) Identificação (4 bytes) Flags (3 bits) Deslocamento do Fragmento (13 bits) Tempo de Vida (1 byte) Protocolo TCP / UDP / ICMP (1 byte) Checksum do Cabeçalho (4 bytes) Endereço IP de Origem (4 bytes) Endereço IP de Destino (4 bytes) Opções + Padding (4 bytes opcional) Dados TCP / UDP / ICMP (até ou bytes) Segmentos: TCP ou UDP ou ICMP

44 Encapsulam ento de Segm entos Segmento TCP ou UDP Cabeçalho TCP / UDP Área de Dados TCP / UDP Pacote IP Cabeçalho IP Área de Dados de um pacote IP = Segmento TCP ou UDP ou Segmento ICMP Quadro da Camada 2 Cabeçalho de Quadro Áres de Dados de um Quadro Camada 2

45 Pseudo Cabeçalho Existe, apenas, apara efeito de cálculo do checksum. Não é transm itido. O checksum do TCP é calculado da m esm a form a que no UDP. O ckecksum é calculado som ando-se o cabeçalho, o pseudo-cabeçalho e o cam po de dados.

46 Foot print Enum eração dos Serviços e Versões Scanners de Porta

47 Scanners de Port as Pesquisam faixas de endereços I P. Descobrem portas abertas (que têm serviços rodando). I nform ações sobre o Sistem a Operacional de um a m áquina alvo (Fingerprint).

48 Scanner Nm ap Nmap ( Código Aberto. Licença GNU GPL. Auditoria de Sistemas. Pode ser usado para Footprint e Fingerprint.

49 Mostrando o Nm ap

50 Footprint - Técnicas de Fingerprint Técnica de levantam ento de inform ações para identificar o sistema operacional da máquinaalvo.

51 Fingerprint I nform ação fundam ental para um invasor buscar um a possibilidade de int rusão. Técnicas Clássicas. Técnicas m ais elaboradas. Crackers e Script Kiddies utilizam ferram entas: Queso, N m ap. Queso foi projetada para fingerprint. N m ap pode fazer fingerprint na pilha TCP do host-alvo (usando UDP, TCP, I CMP).

52 O conceito de I ntrusão Análise da Vulnerabilidade (descobrir o m elhor cam inho para chegar até a invasão). Preparação das Ferram entas (constrói ou escolhe as ferram entas para a invasão). Am eaça ou Tentativa (quando o invasor pula o m uro). Ataque (concretiza o arrom bam ento). I nvasão (quando obtém sucesso).

53 I déia básica para um a intrusão Ao determ inar qual SO está rodando, o invasor pode organizar suas ferram entas de acordo com a plat aform a- alvo. O invasor pode ter com o objetivo, rootear a m áquina-alvo, e deve sem pre saber as diferenças dos form atos binários de cada sistem a.

54 I déia básica para um a intrusão O invasor tem em m ente que, ao saber o SO de um host-alvo, ele pode visar um serviço do respectivo sistema, descubrir uma vulnerabilidade desse serviço, e tendo em mãos um exploit funcional para explorar esse serviço, ele terá um a oportunidade que lhe perm itirá rootear (assumir o perfil de administrador com senha de root).

55 I nvest idas Errôneas Um investida errônea sobre o serviço pode tirá-lo do ar e/ ou cham ar a atenção do adm inistrador. Casos freqüentes de queda de serviços, por razões desconhecidas: verificação dos arquivos de log do servidor, Firewall e I DS.

56 Form as de Fingerprint Técnicas Clássicas Fingerprint com Cheops Fingerprint com Nmap ou Nmap e Nift UDP Echo TCP Syn TCP Echo TCP Ack ICMP Echo Usar ferramentas como snmpwalk ou LANguard sobre servidores habilit ados com SNMP e configurados de form a padrão.

57 Fingerprint com Cheops Cheops é um program a m apeador de redes pequenas, que tem vários recursos, entre eles, a capacidade de fazer fingerprint. Não identifica todos os sistem as rem otos...

58 Fingerprint com Nm ap Fingerprint através da Pilha TCP/ I P Extrair inform ações de um a m áquina através das características im plem entadas em sua pilha TCP/ I P.

59 Fingerprint com Nm ap nmap os-fingerprints (nome do arquivo dos perfis de SOs) Para usar o recurso de Fingerprint, utilizar a opção -O : nmap O <ip> Fingerprint em uma única porta: nmap O p80 <ip> Fingerprint com modo de varredura máxima: nmap O p21 osscan_guess <ip> nmap n p80 PO -O --osscan_guess <ip> nmap n P6001 PO O osscan_guess localhost

60 Fingerprint com N ift N ift é um a ferram enta front- end para N m ap e outas ferram entas. Apresenta um a interface gráfica. Tem recursos para varreduras de serviços, fingerprint e varredura I CMP. O objetivo de Nift é identificar o alvo e enum erar serviços. Download de Nift em :...

61 Fingerprint com Nm ap Descobrir quais os respectivos SOs. nmap ss p80 O v <host> nmap ss p80 O osscan_guess v <host> Fazendo um teste numa corporação de nome empresa. O parâmetro <empresa>.log é um arquivo de log. nmap ss F o <empresa>.log v O Este comando faz SYN scan nas portas conhecidas em (/etc/services), loga o resultado no arquivo <arquivo>.log e em seguida faz um scan do SO e um scan na classe C. Veja o resultado: Site e o SO.

62 Fingerprint com Nm ap Quando é anunciado um bug de segurança, esses invasores podem ir a um site de exploits em busca de um a ferram enta para explorar tal bug. m odus operandi do script kiddie

63 Foot print Técnicas de Varreduras Enum eração dos Tipos de Serviços e Versões Varredura de Portas Serviços Serviços Varredura de Vulnerabilidades

64 Enum eração Extração de inform ações do am biente-alvo, com o os serviços de rede TCP e UDP, que requerem port as.

65 Enum eração dos Tipos de Serviços Disponíveis e Versões Varreduras de Port as Clássicas Varreduras TCP, UDP, I CMP. (se utilizam destes protocolos) Port Scanners - Netcat - Nm ap - Am ap (ideal para leitura de banners) - Blaster - Hping2 (m ontador de datagram as) I ntrusão ou para Auto- Monitoram ento

66 Foot print Enum eração de I nform ações dos Serviços

67 Enum eração de I nform ações dos Serviços SMTP Scan SNMP Scan SMB Scan (com partilham ento Windows, em UNI X, provido pelo Sam ba). Reverse I dent RPC Scan I ntrusões ou Auto-Monitoram ento

68 Vulnerabilidades São as falhas de segurança em um sistem as de software ou de hardware que podem ser exploradas para perm itir a efetivação de um a intrusão.

69 Foot print Descobert a de vulnerabilidades

70 Um scanner de vulnerabilidades Nessus (http: / / Scanner de segurança que identifica vulnerabilidades, e tenta testar as encont radas. Adm inistração Rem ota.

71 Varredura de Vulnerabilidades Enum eração das falhas e configurações padrões dos serviços. Serve para concretizar ataques: são usados Exploits (ferram entas para a exploração de vulnerabilidades) para os respect ivos serviços levant ados. Ou para realizar Auto- Monitoram ento

72 Most rando o Nessus

73 Most rando o Nessus

74 Most rando o Nessus

75 SUSSEN - I nterface para Nessus Um cliente não oficial para o Nessus, denom inado SUSSEN: I ntegração com MySQL Server V4.0, com o backend. Suporte a m últiplos servidores Nessus. Suporte a geração de m últiplos relatórios. Baseado em GNOME/ Gtk+ 2.2 API s.

76 SUSSEN - I nterface para Nessus I ntegração com ajuda de m anual online. Política de gerenciam ento de plugins e scanners de porta. Suporte a internacionalização e localização. Suporte à XML. http: / /...

77 Referências para Scanners Noordergraaf, Alex. Enterprise Server Products. How Hackers Do It: Trick, Tools and Techniques. Sun BluePrints OnLine May, CERT: Nessus: Nmap: Serafim, Vinícius da Silveira. Atacantes: Suas principais técnicas e ferramentas. Gseg - UFRGS. CVE: